我正在尝试保存一些php代码,以在我当前租用的服务器上保存示例和代码模板。问题是当我将$发送到服务器时,它将它保存在数据库中,没问题。但是,当我查询数据时,它告诉我有一个SQL注入并阻止了我查询表的IP地址。
有趣的是,我的表具有类别,并且仅当我查询“ category_id = 3”时才会出现问题,其他类别没有可显示$数据的文件。
总的来说,我意识到这可能是一个问题,但是我的所有输入都被转义了,并且在特殊情况下有特殊的措施,并且我所有的查询都由相同的函数构成。
我试图将$更改为$解决这个问题,以便万一我忘记了转义或不知道,php不会将其识别为变量,但结果是相同的。
我真的不明白为什么当我将HTML实体保存为纯文本格式时,这可能是BitNinja的主要问题。
我知道我可以将代码保存在文件中,遍历数据库或将代码进行base64并按原样保存,但这不是问题所在。
答案 0 :(得分:0)
假设您正在使用WAF模块,那么是的,它的确会产生误报(几乎所有对SQL注入的WAF检测都会如此)。在他们对此的blog entry中,他们说:
我们的WAF 2.0模块可以防止SQL注入。
在官方的OWASP核心规则集中,我们有针对此攻击的规则集 向量。这是一个非常通用的规则集,因此如果您需要使用它 必须非常小心。我建议您启用它,仅在日志中使用 模式。
正如Bill在评论中提到的那样,我们需要查看代码和数据,以确定这是否为真假阳性。